Die digitale Überwachung von Verdächtigen muss geräuschlos sein, um diese nicht zu alarmieren. Derzeit eingesetzten Systemen fehlt es jedoch an stringenten technischen Mechanismen, um die Rechtmäßigkeit dieser Maßnahmen sicherzustellen. Forschende des Karlsruher Instituts für Technologie (KIT) und der Universität Luxemburg haben nun ein Sicherheitsprotokoll entworfen, welches eine beispielsweise richterlich angeordnete Überwachung von Ende-zu-Ende verschlüsselter oder anonymer Kommunikation ermöglicht, aber zugleich massenhafte und unrechtmäßige Überwachung verhindert oder aufdeckt. Erste Ergebnisse stellte das Team in einer Publikation zur Konferenz Asiacrypt 2023 vor (https://eprint.iacr.org/2023/1343).
Die Privatsphäre wird in unserer digitalen Gesellschaft immer wichtiger. Es gibt eine starke Nachfrage nach Anonymität und Vertraulichkeit von Daten, die durch die Europäische Datenschutzverordnung begründet ist. Andererseits machen es Gesetze und Verordnungen wie die Resolution des Europäischen Rates über die rechtmäßige Überwachung des Fernmeldeverkehrs oder die EU-Richtlinie zur Bekämpfung der Geldwäsche und der Terrorismusfinanzierung erforderlich, die Anonymität Nutzender aufzuheben oder deren verschlüsselte Kommunikation unter bestimmten, genau definierten Umständen offenzulegen, beispielsweise wenn eine Überwachungsmaßnahme gegen Verdächtige richterlich angeordnet wurde. Viele Anwendungen unterliegen daher Anforderungen oder Vorschriften, die eine Garantie für bedingungslose Anonymität verbieten.
Unerlaubte Massenüberwachung durch die Hintertür
Das Problem bei solchen „digitalen Hintertüren“ ist jedoch, dass sie auch eine unbemerkte Massenüberwachung ermöglichen. Um dies zu verhindern, sind unabhängige, vertrauenswürdige Stellen nötig, die sozusagen die Überwachenden überwachen. Es bedarf außerdem eines Systems, das technisch einen nachträglich nicht veränderbaren Gerichtsbeschluss erzwingt, wenn eine Hintertür genutzt werden soll, um somit die Rechtmäßigkeit der Maßnahme sicherzustellen. Den zurzeit verwendeten Systemen fehlt es hierfür an strikten technischen Mechanismen. „In unserer Forschungsarbeit haben wir Sicherheitsprotokolle entworfen, die beides leisten: Sie ermöglichen die Überwachung von verschlüsselter oder anonymer Kommunikation und bieten zugleich auch die Möglichkeit, unrechtmäßige Überwachungsmaßnahmen zu verhindern oder zumindest aufzudecken“, so Dr. Andy Rupp, Leiter der Forschungsgruppe „Kryptographische Protokolle“ der KASTEL Security Research Labs am KIT. „Unser Ziel ist es, das Vertrauen der Öffentlichkeit in das ehrliche Verhalten von Betreibenden und Strafverfolgungsbehörden deutlich zu erhöhen.“
Kontrollierte Nutzung digitaler Hintertüren
In seiner Arbeit entwickelte das Forschungsteam dazu einen Baustein für eine überprüfbare Überwachung. In diesem Sicherheitsprotokoll werden Nutzende auf mehrere Arten geschützt: Digitale Hintertüren öffnen sich nur kurzfristig und benutzerspezifisch, sie werden zwischen vertrauenswürdigen Parteien geteilt, und der Zugang zur digitalen Hintertür wird nur unter bestimmten Bedingungen gewährt. Außerdem wird das Hinterlassen nicht-veränderbarer Dokumente zur Öffnung der Hintertüren technisch erzwungen. Dies ermöglicht eine spätere Überprüfung der Rechtmäßigkeit von Überwachungsmaßnahmen durch einen unabhängigen Auditor sowie öffentlich überprüfbare Statistiken zur Nutzung von Hintertüren.
Die Anwendungsmöglichkeiten für diese Auditable Surveillance Systeme reichen von mobilen Kommunikationssystemen wie etwa 5G und Instant-Messaging-Diensten über elektronische Zahlungen bis hin zur datenschutzkonformen Videoüberwachung. „Unsere Arbeit liefert ein erstes Konzept für Auditable Surveillance. Für einen praktischen Einsatz müssen aber noch weitere technische und rechtliche Herausforderungen angegangen werden. Das wird Gegenstand unserer zukünftigen interdisziplinären Forschung sein“, so Rupp. (rl)
Originalpublikation
V. Fetzer, M. Klooß, J. Müller-Quade, M. Raiber, and A. Rupp. Universally Composable Auditable Surveillance. Accepted at the 30th International Conference on the Theory and Application of Cryptology and Information Security — ASIACRYPT, 2023. https://eprint.iacr.org/2023/1343
Weitere Informationen: http://www.kastel-labs.de/
Details zum KIT-Zentrum Information – Systeme – Technologien (KCIST)
Als „Die Forschungsuniversität in der Helmholtz-Gemeinschaft“ schafft und vermittelt das KIT Wissen für Gesellschaft und Umwelt. Ziel ist es, zu den globalen Herausforderungen maßgebliche Beiträge in den Feldern Energie, Mobilität und Information zu leisten. Dazu arbeiten rund 10 000 Mitarbeiterinnen und Mitarbeiter auf einer breiten disziplinären Basis in Natur-, Ingenieur-, Wirtschafts- sowie Geistes- und Sozialwissenschaften zusammen. Seine 22 800 Studierenden bereitet das KIT durch ein forschungsorientiertes universitäres Studium auf verantwortungsvolle Aufgaben in Gesellschaft, Wirtschaft und Wissenschaft vor. Die Innovationstätigkeit am KIT schlägt die Brücke zwischen Erkenntnis und Anwendung zum gesellschaftlichen Nutzen, wirtschaftlichen Wohlstand und Erhalt unserer natürlichen Lebensgrundlagen. Das KIT ist eine der deutschen Exzellenzuniversitäten.